RGPD, eIDAS, RGS… Pour répondre au défi de la sécurité numérique, les mairies sont confrontées à des contraintes règlementaires nombreuses et complexes.
Les mairies et les autres collectivités territoriales sont engagées dans une transformation numérique profonde. Cette transformation a pour double objectif de renforcer les services rendus aux citoyens et de répondre à des obligations règlementaires nouvelles comme le RGPD.
Le cadre règlementaire de la sécurité numérique des mairies
Pour répondre au défi de la sécurité numérique, posé par la transformation numérique des mairies et des autres collectivités territoriales, la France et l’Union européenne se sont dotées d’un cadre règlementaire participant à la protection des systèmes d’information et dont les objectifs sont :
- le renforcement de la confiance des usagers dans l’utilisation des services numériques ;
- le renforcement de la sécurité des données à caractère personnel ;
- la transformation numérique des administrations ;
- le renforcement de la sécurité des acteurs critiques pour l’État.
Le texte le plus emblématique de ce cadre réglementaire est le RGPD, qui met en place de nouvelles obligations à la charge des mairies et des autres collectivités territoriales. Notamment, l’article 32 du RGPD prévoit que les collectivités territoriales doivent assurer la sécurité des traitements de données à caractère personnel qu’elles mettent en œuvre.
Le 18 décembre 2019, l’équivalent norvégien de la Cnil a condamné la mairie d’Oslo sur le fondement du RGPD pour ne pas avoir mis en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité numérique adapté.
Les grands principes de la sécurité numérique des mairies
Cette réglementation s’articule autour de trois principes fondamentaux :
- la gouvernance qui vise à impliquer l’ensemble des acteurs (décideurs, agents, etc.) des collectivités territoriales et des mairies à la sécurité par la définition et le suivi de politique de sécurité des systèmes d’information (PSSI) ;
- la gestion des risques qui doit amener les collectivités territoriales et les mairies à évaluer les menaces auxquelles elles sont soumises et les mesures qu’elles peuvent mettre en place pour s’en protéger tout en tenant compte des contraintes auxquelles elles font face (financière, humaine, sociale, etc.) (RGPD, article 32) ;
- l’amélioration continue qui permet à l’organisation de régulièrement évaluer son niveau de sécurité afin d’identifier les domaines dans lesquels il est nécessaire de progresser.
Le guide ANSSI
Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’ANSSI a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Ce document contient 7 fiches de recommandations :
- FICHE 1 : Aide à la mise en œuvre des réglementations
- FICHE 2 : Se préparer et réagir en cas d’incident de sécurité
- FICHE 3 : L’usage de la signature électronique
- FICHE 4 : Ouvrir un téléservice dans le respect des règles de sécurité
- FICHE 5 : Ouvrir un service numérique au public dans le contexte eIDAS
- FICHE 6 : Recourir à l’externalisation pour la gestion du système d’information
- FICHE 7 : Mise en œuvre d’un système de management de la sécurité de l’information (SMSI) dans le contexte HDS
Anne Renard
Lexing Conformité et certification